Aquabot
Aquabot es una variante reciente de la botnet Mirai, descubierta por el equipo de Antiy CERT. Diseñada para afectar arquitecturas MIPS, ARM y X86, esta amenaza utiliza contraseñas débiles como vector de infección en dispositivos IoT. Su evolución incluye capacidades mejoradas de propagación, ocultación y persistencia, prolongando así su presencia en los sistemas afectados. Aquabot espera instrucciones de control para llevar a cabo ataques de denegación de servicio distribuido (DDoS). Este malware destaca por su habilidad para escanear contraseñas débiles, gestionar procesos y ejecutar diversos tipos de ataques DDoS, representando un riesgo significativo para la seguridad de dispositivos conectados a Internet.
Funcionamiento
Aquabot, una variante de la botnet Mirai, se caracteriza por su complejidad y funciones técnicas diseñadas para comprometer dispositivos IoT mediante el uso de contraseñas débiles. La botnet ha experimentado al menos dos iteraciones, con la versión más reciente, Aquabot-v2, capturada en noviembre de 2023. Su estructura se basa en el marco de código abierto de Mirai, aprovechando módulos reutilizados y desarrollo personalizado.
En términos de inicialización, Aquabot cambia el nombre del proceso a "configd" y muestra la cadena "hombre tonto infectado" en la consola. Utiliza un algoritmo XOR para descifrar la cadena necesaria para operar, asegurando la persistencia al evitar reinicios y apagados del dispositivo. La gestión de procesos implica el uso de funciones heredadas de Mirai, como "killer_kill_by_port", para cerrar procesos específicos filtrando puertos.
El escaneo de contraseñas débiles es una característica distintiva, donde Aquabot genera una dirección IP aleatoria, selecciona combinaciones de nombre de usuario y contraseña de un diccionario cifrado mediante XOR, y realiza intentos de inicio de sesión Telnet. El éxito de estas intrusiones se informa al servidor de control y comando (C2). Además, Aquabot integra ataques DDoS de varios tipos, incluyendo udp, tcp, gre y aplicación.
La versión Aquabot-v2 muestra mejoras en la propagación, ocultación y persistencia. Modifica el nombre del proceso a "httpd", agrega funciones para eliminar archivos y directorios para ocultar el proceso, y detecta parámetros de inicio del proceso para evitar operaciones que puedan comprometer su supervivencia. La comparación entre las iteraciones resalta las adaptaciones realizadas para mejorar su evasión y persistencia.
En cuanto a la seguridad, Antiy recomienda fortalecer las capacidades de seguridad nativas de los dispositivos IoT, implementar sistemas de respuesta y detección de amenazas, fortalecer el control de acceso y operación de los dispositivos, modificar contraseñas predeterminadas y responder de manera rápida a posibles ataques.
El mapeo de ATT&CK muestra cómo Aquabot se integra en diversas etapas del ciclo de vida del ataque, desde el reconocimiento hasta la influencia, aprovechando vulnerabilidades y utilizando protocolos de capa de aplicación para el comando y control. Este análisis técnico subraya la complejidad y sofisticación de Aquabot como una amenaza dirigida a dispositivos IoT.
Impacto y Consecuencias
El impacto y las consecuencias de Aquabot en los sistemas afectados son significativos y multifacéticos. Dada su naturaleza como una variante avanzada de la botnet Mirai, Aquabot tiene la capacidad de comprometer dispositivos IoT mediante la explotación de contraseñas débiles, lo que lleva a diversas implicaciones técnicas y operativas.
En primer lugar, Aquabot puede causar interrupciones graves en la disponibilidad de servicios al llevar a cabo ataques de Denegación de Servicio Distribuido (DDoS). La botnet integra varios tipos de ataques DDoS, incluyendo udp_generic, tcp_syn, udp_vse, entre otros, lo que puede sobrecargar los recursos de red y servicios de los dispositivos afectados. Esto no solo afecta la operatividad de los dispositivos IoT comprometidos, sino que también puede tener un impacto colateral en otros servicios conectados a la misma red.
Además, la capacidad de Aquabot para escanear y comprometer dispositivos mediante contraseñas débiles puede llevar a la filtración de información confidencial almacenada en estos dispositivos. Si los dispositivos comprometidos contienen datos sensibles o tienen acceso a redes más extensas, Aquabot puede actuar como un vector para la exfiltración de datos, poniendo en riesgo la privacidad y seguridad de la información.
Desde el punto de vista de la persistencia, Aquabot utiliza técnicas avanzadas para evitar ser detectado y eliminado. Modifica nombres de procesos, elimina archivos del sistema y detecta parámetros de inicio para evitar reinicios y apagados del dispositivo, prolongando así su presencia y dificultando su erradicación.
Otro aspecto importante es la capacidad de Aquabot para evadir medidas de seguridad al cambiar su nombre de proceso y utilizar técnicas anti-depuración. Esto complica la detección por parte de soluciones antivirus y sistemas de seguridad, permitiendo a la botnet operar de manera sigilosa y persistente en los sistemas afectados.
Origen y Motivación
El origen y la motivación exacta detrás de Aquabot no están explícitamente detallados en la información recopilada a la fecha. Sin embargo, la creación de variantes de botnets como Aquabot generalmente se atribuye a actores maliciosos con motivaciones diversas. Estos pueden incluir ciberdelincuentes con intenciones financieras, grupos de hacktivistas con agendas políticas o individuos con el objetivo de causar interrupciones y daño generalizado. La motivación detrás de estas amenazas suele centrarse en la explotación de dispositivos IoT para perpetrar ataques DDoS, comprometer la privacidad y seguridad de la información, o incluso crear infraestructuras de bots para actividades ilícitas más amplias. La falta de detalles específicos sobre el origen y motivación de Aquabot destaca la naturaleza clandestina de tales operaciones, donde los actores maliciosos buscan ocultar sus identidades y objetivos exactos.